首先來解決認證的問題。 1.效率低，每次認證都要去認證服務器調一次服務。 2.傳遞用戶身份，在請求頭里面， 3.服務之間傳遞請求頭比較麻煩。 jwt令牌。 spring提供了工具，幫你在微服務之間傳遞令牌。讓你不用去寫額外的代碼 服務器端的改造 看一下認證服務器配置的這個類。這里有 ...

上一節在認證服務器里，將token 由uuid改造成了JWT，之前在網關上拿到令牌access_token后，需要去認證服務器校驗令牌，將令牌信息轉換為用戶信息。 現在有了jwt后，由於jwt是自包含的，已經包含了用戶的身份信息，所以在網關上不需要去認證服務器驗令牌了。 之前 ...

限流的改造。 同樣注意，不要聲明成Spring的Bean 在上面聲明Rateliiter 如果能獲取到權限繼續往下走，沒權限就返回，to many request的錯誤信息。 加到過濾器鏈上 加載Spring Scurity過濾器鏈的第一個過濾器之前。 啟動網關，測試 ...

網關上認證去做哪些改造 在網關上用jwt去解析用戶信息，而不再發送校驗令牌的請求了。 之前的時候網關上實際上寫了很多的代碼 包括認證，發check_token去把token請求，換成用戶信息。 這倆是審計日志和授權。 自己寫了個MeFilter獲取用戶的信息 限流 filter都刪掉 ...

到現在為止基於Jwt的認證和授權的改造已經完成了。在網關上，剛開始都是自己定義一系列的Filter實現認證和授權。現在已經沒有了這些過濾器，完全由SpringSecurity的過濾器接管了。 一、審計日志過濾器 現在來實現在SpringSecurity過濾器鏈上加入自己的邏輯，現在的過濾器鏈 ...

在代碼里，我們沒有認證或者授權的filter。認證和授權的工作現在基本上完全由Spring Security的過濾器接管了。 本節就來看下 如何在Spring Security的過濾器鏈上加入我們自己的邏輯，因為現在這個過濾器鏈上只處理了認證和授權。我們還有其他的一些安全機制，比如說限流、日志 ...

這一節介紹，在認證服務器上使用spring session。 由於認證服務器肯定要是一個高可用狀態，所以一定是一個集群，這就需要做session共享，最簡單的實現就是使用spring session。 Spring Session官方文檔 ：https ...

上一篇說了認證，通過令牌可以知道當前用戶是誰，並把令牌信息從網關到微服務，以及微服務與微服務之間傳遞用戶上下文的信息，這一篇來聊一下授權。 一、最簡單的情況ACL權限控制 用戶有哪些權限直接在scope里寫着，只要在程序里判斷一下要訪問某個方法，是否有訪問權限就可以了這種適用於權限簡單的場景 ...